Datenleck bei Unister zum Teil noch offen

MDR INFO, 07.01.13
–> Beitrag anhören
Am Donnerstag war bekannt geworden, das der Leipziger Internetreiseanbieter Urlaubstours ein Datenleck habe. Tausende Informationen über Flüge der Kunden der Unister-Tochter seien im Internet einsehbar. Der Sächsische Datenschutzbeauftragte stellte dem Unternehmen eine Frist zur Lösung des Problems, die heute ablief.

Unister-Zentrale in Leipzig (Foto: Michael Voß)

Die Luft wird dünn. Um 15:08 Uhr lief für die Unister-Tochter Urlaubstours die Frist ab, die der Sächsische Datenschutzbeautragte gesetzt hatte. Bis dahin sollte das jüngste Datenleck geschlossen werden. Zur Erinnerung: Letzte Woche war bekannt geworden, dass rund 4.700 Kundenbuchungen im Internet von anderen Unister-Kunden eingesehen werden konnten – und zwar auf dem Portal der Fluggesellschaft Ryanair, bei der die Unister-Tochter die Flüge gebucht hat.

Trotz Fristablauf: Große Teile der Daten sind noch immer einsehbar, wie der Leiter der Unternehmenskommunikation von Unister, Konstantin Korosides bestätigt:

Ich habe es so verstanden, dass es in der Tat so ist, das da noch ein Problem liegt., und das wir da auf die Zusammenarbeit mit Ryanair angewiesen sind und das wir da  auch mit Ryanair im Gespräch sind und hoffen natürlich, dass es da zu einer gütlichen Einigung kommt. Also scheinbar können wir da jetzt nicht mehr wesentlich machen. Das ist mein Stand, aber es ist keine rechtsverbindliche Auskunft.

Den Schwarzen Peter, die Schuldfrage, schiebt Unister also der Fluggesellschaft Ryanair zu. Dort sieht man alles aber ganz anders, wie die für Deutschland zuständige Managerin Henrike Schmidt erklärt.

Wir erlauben Unister von vornherein nicht, diese Buchungen zu tätigen, sprich: Wir sind im rechtlichen Schriftverkehr mit Unister, genau solche Buchungen zu untersagen. In dem Sinne bitten wir Unister, die Buchung a) zu unterlassen und b) die Buchung, die zur Zeit geschehen sind und die noch ausstehen, die Datenlücke hier eben zu schließen.

Die Datenlücke war entstanden, weil die Unister-Tochter Urlaubstours sämliche Flüge bei Ryanair unter ein und derselben E-Mailadresse gebucht und diese an alle  Kunden weitergegeben hatte. Das Computersystem von Ryanair erkannte deshalb hinter der E-Mailadresse einen Kunden, der 4.700 Flüge gebucht hatte. So kann jeder, der im Besitz dieser E-Mailadresse ist und einen gültigen Bestätitungscode eingibt, alle 4.700 Flugdaten sehen. Nach Informationen von MDR INFO wurden die Flüge grundsäztlich mit ein und derselben Kreditkarte gebucht, nämlich  der persönlichen Kreditkarte eines Unister-Managers.

Ryanair will an den Buchungen nichts ändern, weil das Buchungssystem unberechtigt durch die Unister-Tochter genutzt wurde.

Ich kann ihnen nur sagen, dass von unserer Seite keine Veränderungen vorgenommen wurden, oder auch vorgenommen werden

Unister hat am Nachmittag den Sächsischen Datenschutzbeuftragten informiert, dass es für das Unternehmen nicht möglich sei, die Datensätze zu verändern, bei denen die Flüge bereits stattgefunden haben. Der Datenschutzbeauftragte will nun zusammen mit Ryanair und Unister eine Lösung finden.

(c) Michael Voß, www.michael-voss.de

Author: Michael Voß

Schreibe einen Kommentar